- Tomiris APT apunta a agencias gubernamentales con implantes de malware en varios idiomas
- El grupo oculta el tráfico C2 en Telegram/Discord mediante phishing para el acceso inicial
- La campaña se centró en la inteligencia a nivel estatal y afectó a instituciones de Rusia y Asia Central.
Tomiris, un grupo de hackers de habla rusa de la APT, redujo el foco del ataque a ministerios gubernamentales, organizaciones intergubernamentales e instituciones políticamente importantes.
Así lo afirma un nuevo informe de los investigadores de ciberseguridad Kaspersky, que afirma que desde principios de 2025 ha habido una ola de intrusiones en las que Tomiris ha desplegado un gran arsenal de implantes multilingües.
Las herramientas escritas en Go, Rust, Python y PowerShell (entre otros) fueron diseñadas para brindar flexibilidad y oscuridad, además de dificultar la atribución.
Apuntando a las víctimas rusas y de Asia Central
Tomiris ahora oculta su infraestructura de comando y control (C2) en servicios públicos como Telegram o Discord, dijo, lo que le ayuda a ocultar el tráfico malicioso dentro de los flujos normales de mensajería cifrada.
Varios shells inversos, como Tomiris Python, Discord ReverseShell o Tomiris Python Telegram ReverseShell, dependen completamente de estas plataformas para aceptar comandos y extraer datos robados.
El acceso primario generalmente se logra mediante phishing, utilizando reglas escritas en ruso. Una vez que se implementa el malware de etapa uno, los atacantes se esconderán, ejecutarán comandos del sistema e implementarán malware de etapa dos. Kaspersky también dijo que marcos como Havoc y AdaptixC2 aparecen en una etapa posterior y se utilizan para la persistencia, el movimiento lateral y la toma de control del dispositivo.
Más de la mitad de los señuelos de phishing de Tomiris se dirigen a personas u organizaciones de habla rusa, afirmó. El resto se encuentra en países de Asia Central como Turkmenistán, Kirguistán, Tayikistán y Uzbekistán. Kaspersky también enfatizó que no se trataba de un crimen oportunista, sino de una campaña centrada en la recopilación de inteligencia a nivel estatal.
“La evolución de las tácticas subraya la privacidad del actor de amenazas, su persistencia a largo plazo y su enfoque en objetivos estratégicos por parte de gobiernos y organizaciones intergubernamentales”, concluyó Kaspersky. “El uso de servicios públicos para comunicaciones C2 e implantes multilingües resalta la necesidad de técnicas de detección avanzadas, como análisis de comportamiento e inspección del tráfico de red, para detectar y mitigar eficazmente dichas amenazas”.
a través de Noticias de piratas informáticos
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
